Secondo un articolo di IBM, sta sviluppandosi una nuova forma di attacco, simile al phishing ma più mirato.
Il phishing si basa sul mandare centinaia di migliaia di e-mail generici che simulano di provenire da una banca o da eBay o da altra organizzazione che gestisce soldi, nella speranza di trovare a casaccio qualche utente di quell'organizzazione che sia sufficientemente malaccorto da rispondere all'invito a fornire i propri codici segreti. La nuova forma di attacco, denominata spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"), è invece calibrata specificamente sulla vittima.
Lo spear phishing è in genere condotto dall'interno del sistema. Per esempio, un dipendente di una ditta (che conosce i dettagli personali degli altri dipendenti) manda a ciascuno dei propri colleghi un e-mail che si spaccia per una comunicazione interna, che ordina loro di cambiare password e di inviarla via e-mail all'indirizzo appositamente fornito. L'indirizzo, ovviamente, non è quello dell'amministratore della sicurezza, ma uno che gli somiglia, creato dal dipendente-aggressore.
Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti. Nel phishing tradizionale, i messaggi iniziano con un vago "caro correntista" e simili. I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già tutte queste informazioni personali.
Per difendersi occorre, come sempre, cautela e un po' di buon senso. Qualunque richiesta di dati personali e specialmente di codici d'accesso che ci arriva via e-mail va trattata con la massima diffidenza e verificata usando un canale di comunicazione alternativo: per esempio, una telefonata al responsabile aziendale della sicurezza o all'ente che apparentemente ha inviato il messaggio di richiesta.
Nessun commento:
Posta un commento